若要檢視英文版的文章,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

步驟 5 – 建立 PRIV 與 CORP 樹系之間的信任

 


PRIVCONTOSO 網域控制站都受限於信任,即允許 PRIV 網域中的使用者存取 CORP 網域上的資源。

  1. 在建立信任前,必須根據其他網域控制站/DNS 伺服器的 IP 位址,為其對等項目的 DNS 名稱解析設定每個網域控制站。

    1. 請確定沒有其他 DNS 伺服器正在為任一網域的電腦提供網域命名服務。如果虛擬機器連線到公用網路的網路介面,可能必須覆寫 Windows 網路介面設定,確保任何虛擬機器皆未使用 DHCP 提供的 DNS 伺服器位址。

    2. (選擇性) 在CORPDC,啟動 PowerShell 並輸入下列命令。

      nslookup -qt=ns priv.contoso.local.
      

      確定輸出指出這個網域的 nameserver 記錄。

    3. (選擇性) 此外,也可使用 [DNS 管理員] (位於 [開始]、[應用程式工具]、[DNS]) 來確認 PRIV 網域到 PRIVDC 的 IP 位址之 DNS 名稱轉寄。使用此程式中,展開節點 [CORPDC]、[正向對應區域]、[contoso.local],並確定名為 priv 的金鑰是顯示為名稱伺服器 (NS) 類型。

      PAM_GS_DNS_Manager
  2. [PAMSRV] 上,建立與 CORPDC 的單向信任,讓 CORP 網域控制站信任 PRIV 樹系。

    1. 請確定以 PRIV 網域系統管理員 (例如 PRIV\Administrator) 的身分登入 PAMSRV

    2. 啟動 PowerShell。

    3. 輸入下列 PowerShell 命令,並在出現提示時,視需要輸入 CORP 網域系統管理員的認證 (例如 CONTOSO\Administrator)。

      $ca = get-credential
      New-PAMTrust -SourceForest "contoso.local" -Credentials $ca
      New-PAMDomainConfiguration -SourceDomain "contoso" -Credentials $ca
      
      
  3. [CORPDC] 上,啟用 PRIV 系統管理員的 AD 讀取權限,及監視服務。

    1. 確定以 Contoso 網域系統管理員身分 (例如 Contoso\Administrator) 登入 CORPDC

    2. 啟動 [Active Directory 使用者和電腦]

    3. 以滑鼠右鍵按一下網域 [contoso.local],並選取 [委派控制]

    4. 在 [選取的使用者及群組] 索引標籤上,按一下 [新增]

    5. [選取使用者、電腦群組] 快顯視窗,按一下 [位置],並將位置變更為 [priv.contoso.local]在物件名稱上,輸入Domain Admins 並按一下 [檢查名稱]。 出現快顯視窗時,為使用者名稱輸入 priv\administrator 和密碼。

    6. [Domain Admins] 後面輸入 "; MIMMonitor"。在 Domain Admins 和 MIMMonitor 名稱加上底線後,按一下 [確定],然後按 [下一步]

    7. 在常見的工作清單中,選取 [讀取所有使用者資訊],再依序按 [下一步][完成]

    8. 關閉 [Active Directory 使用者和電腦]

  4. [PAMSRV] 上,啟動 [監視和元件服務]

    1. 請確定以 PRIV 網域系統管理員 (例如 PRIV\Administrator) 的身分登入 PAMSRV

    2. 啟動 PowerShell。

    3. 輸入下列 PowerShell 命令。

      net start "PAM Component service"
      net start "PAM Monitoring service"
      
      
  5. (選擇性) 確認在從 CORP 網域至 PRIV 網域的信任上,已啟用 SID 歷程記錄和停用 SID 篩選。

    1. 確定以網域系統管理員身分 (例如 CONTOSO\Administrator) 登入 CORPDC

    2. 開啟 PowerShell 視窗。

    3. 使用 netdom,確保已啟用 SID 歷程記錄和停用 SID 篩選。輸入:

      netdom trust contoso.local /quarantine /enablesidhistory:yes /domain priv.contoso.local
      

      輸出應該指出「啟用此信任的 SID 歷程記錄」或「此信任已啟用 SID 歷程記錄」。

      輸出應該也指出「此信任未啟用 SID 篩選」。如需詳細資訊,請參閱 http://technet.microsoft.com/library/cc772816(v=WS.10).aspx

顯示: